„In diesen Fällen rate ich – Finger weg vom Fax“

Martin Thaler Berater Recht & Haftung Top News Meistgeklickt

Faxgeräte gelten als in die Jahre gekommen, doch in vielen Maklerbüros summt und brummt noch immer ein Faxgerät. Ein Urteil aus dem vergangenen Jahr lässt jedoch aufhorchen und mahnt zur Vorsicht: Nicht alle Daten sollten noch per Fax kommuniziert werden. Über die Hintergründe sprach procontra mit dem Datenschutzexperten Guido Babinsky.

Guido Babinsky Bild: Babinsky

Datenschutzexperte Guido Babinsky rät Maklern bei der Verwendung von Faxen zur Datenübermittlung zur Vorsicht. Bild: Babinsky

procontra: Im vergangenen Jahr hat das Oberverwaltungsgericht Lüneburg ein Urteil gefällt, durch das der Versand personenbezogener Daten via Fax streng limitiert wird. Wird in Zeiten sozialer Medien und E-Mails überhaupt noch per Fax kommuniziert?  

Guido Babinsky: Allerdings, ich schätze, dass noch immer 50 bis 75 Prozent aller Makler das Faxgerät für ihre Arbeit benutzen – häufig als Multifunktionsgerät. Das hat einen ganz einfachen Grund: Viele nutzen den Fax-Sendebericht als Zugangsnachweis, beispielsweise wenn es um die Einhaltung von Kündigungsfristen in der Kfz-Versicherung geht. Allerdings sollte hier beachtet werden, dass verschiedene Oberlandesgerichte und auch der BGH entschieden haben, dass ein einfacher Faxbericht mit OK-Vermerk allein nicht mehr als Zustellnachweis gilt, unter anderem, weil dieser leicht manipulierbar ist.  

procontra: 2020 hat nun das Oberverwaltungsgericht Lüneburg ein bemerkenswertes Urteil gefällt. Darin heißt es: Personenbezogene Daten dürfen nicht mehr per Fax versendet werden.  

Babinsky: Da muss man differenzieren. Aus dem Urteil eine Pauschalabsage für den Fax-Versand personenbezogener Daten herauszulesen, wäre für mich zu weit gegriffen. Die DSGVO verfolgt ja einen risikobasierten Ansatz. Es gilt also stets abzuwägen: Mit welcher Handlung gehe ich welches Risiko ein und welchen Schaden könnte ein Betroffener, sprich der Kunde, aus meinen Handlungen erleiden. Wenn ich das Risiko folglich als gering einschätze, und dies ist abhängig von der Kategorie der versandten Daten, kann ich auch weiterhin personenbezogene Daten per Fax verschicken.  

procontra: Wo liegt denn überhaupt das Problem? Faxen an sich erscheint jetzt nicht unbedingt risikoreich.

Babinsky: Wenn auf Sender- sowie Empfängerseite jeweils noch traditionelle Faxgeräte stehen, welche direkt an eine konkrete Telefonleitung angeschlossen sind, gibt es in der Regel keine Probleme bzw. das Risiko ist überschaubar. Nur: Im Zuge der Digitalisierung ist das traditionelle Faxgerät bei den Versicherern praktisch verschwunden. Wir haben eine Stichprobe bei 24 Unternehmen gemacht – bei keinem ist noch ein traditionelles Gerät im Einsatz.   Stattdessen werden heutzutage Faxserver verwendet. Dadurch wird das Fax nicht mehr an ein konkretes Endgerät geschickt, sondern in eine Mail umgewandelt und an die jeweilige E-Mail-Adresse des Empfängers weitergeleitet. Technisch betrachtet ist es somit – zumindest was die Inhaltsverschlüsselung angeht – einer unverschlüsselten E-Mail gleichzusetzen, bei der der Datenschutz kaum gewährleistet wird.  Die Landesbeauftragten für Datenschutz in Bremen und Nordrhein-Westfalen hatten in diesem Zusammenhang auch den Vergleich mit einer „offen einsehbaren Postkarte“ bemüht.  

procontra: In dem OVG-Urteil ging es damals um einen Sprengstoffhändler, der den Transport seiner Waren organisierte. Die Behörde hatte unter anderem die Kennzeichen und Identifikationsnummern der hierfür verwendeten Fahrzeuge per Fax versandt. Inwieweit lässt sich dieses Urteil auf den Makler übertragen?  

Babinsky: Das Urteil hat eine Signalwirkung für Makler: Auch sie müssen sich fragen, welche Daten sie per Fax verschicken wollen. Nehmen wir beispielsweise die Kündigung einer Hausratversicherung. An personenbezogenen Daten lassen sich hieraus der Name und die Adresse des Kunden, der Versicherer, die Versicherungsnummer und die Tatsache, dass der Vertrag gekündigt wurde, herauslesen. Meiner Meinung nach geht das Risiko hier gegen null – was soll dem Kunden aus diesen Daten für ein Schaden entstehen, selbst wenn diese in die falschen Hände geraten?  

procontra: Es gibt aber auch Gegenbeispiele.  

Babinsky: Absolut. Nehmen wir eine Risikovoranfrage für eine PKV mit Befundberichten vom Arzt, womöglich noch mit einem Bericht, dass der Kunde aus einer stationären psychotherapeutischen Behandlung entlassen wurde. Das mögliche Schadenszenario für den Kunden ist hier extrem hoch und kann von Mobbing bis hin zum möglichen Verlust des Arbeitsplatzes gehen. 

procontra: Bei seinem Urteil bezog sich das OVG Lüneburg auf das Niedersächsische Landesdatenschutzgesetz. Gelten für Makler anderer Bundesländer nun andere Regeln oder sind die Datenschutzgesetze der Bundesländer vergleichbar?  

Babinsky: Die Datenschutzgesetze der Länder beruhen allesamt auf der DSGVO sowie dem Bundesdatenschutzgesetz – demzufolge sind die jeweiligen Landesgesetze praktisch identisch. Unterschiede gibt es aber bei der jeweiligen Auslegung. Im Norden tun sich hier Niedersachsen und Bremen mit einer sehr restriktiven Auslegung hervor – insbesondere Bremen, das seinen Behörden im Mai dieses Jahres das Versenden personenbezogener Daten per Fax grundsätzlich untersagte, was nach meiner Auffassung aber nicht differenziert genug ist.   Die bayerischen Behörden setzen ihren Fokus hingegen vielmehr auf die korrekte Anwendung. Das heißt: Der Versender muss sichergehen, dass er die richtige Fax-Nummer eingegeben hat, dass die Fax-Nummer noch existiert und am besten auch noch kontrollieren, dass das Fax beim richtigen Empfänger eingegangen ist. Eine Differenzierung der Datenkategorien findet hier indes nicht statt.  

Seite 1: Ein Urteil mit Signalwirkung
Seite 2: Sensible Daten oder nicht? Faustregel für Makler